docVoir le PPE 3 - Duneufgermain Michaël
download 
Report Transcription
Voir le PPE 3 - Duneufgermain Michaël
BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L Table des matières Nouveau Plan d’adressage...................................................................................................................................................................... 3 Phase 1 : CONFIGURATION DES MATERIELS ACTIFS D’INTERCONNEXION .................................................................... 5 ROUTAGE INTER-VLAN ...................................................................................................................................................................... 5 MISE EN PLACE DU VTP ..................................................................................................................................................................... 6 CONFIGURATION DES PROTOCOLES SSH/TELNET ............................................................................................................... 6 Configuration Telnet ............................................................................................................................................................................ 6 Accès distant par SSH : ........................................................................................................................................................................ 7 MISE EN PLACE DES ACL ................................................................................................................................................................... 7 Phase 2 : Administration du domaine M2L ..................................................................................................................................... 8 CONFIGURATON DES STRATEGIES DE SECURITE............................................................................................................... 11 INSTALLATION DU SERVICE DHCP ............................................................................................................................................ 12 AFFECTATION DES QUOTAS D’ESPACE DISQUE .................................................................................................................. 13 IMPORTATION D’UNE LISTE D’ADHERENT ........................................................................................................................... 14 Phase 3 : Prise en main à distance ................................................................................................................................................... 15 PHASE 4 : Service d’impressions ...................................................................................................................................................... 16 PHASE 5 : Sauvegarde & stockage .................................................................................................................................................... 17 INITIALISATION DES VOLUMES .................................................................................................................................................. 18 Intégration de l’Annuaire LDAP dans le NAS .......................................................................................................................... 18 GESTION DES UTILISATEURS, DES GROUPES ET DES DROITS ...................................................................................... 19 GESTION DES QUOTAS..................................................................................................................................................................... 19 TFTP ET SAUVEGARDE DES MATERIELS D’INTERCONNEXION.................................................................................... 20 BACKUP PROGRAMMÉ DE WINDOWS ACTIVE DIRECTORY ........................................................................................... 21 0 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L PPE 3 – Maison des Ligues de Lorraine (CONTEXTE) La mission dans la M2L est de fournir des espaces et des services aux ligues sportives régionales elle est dirigée par le dirigeant Lucien Sapin Le financement de la M2L provient du conseil régional de Lorraine. Elle héberge la majorité des ligues sportives, qu’elles aient des employés ou non. En revanche, la ligue de football n’est pas hébergée par la ligue et elle occupe 2000M² de bureaux indépendants à Nancy. A part les bureaux, la M2L met à la disposition des ligues des espaces mutualisés (salle de réunion, amphithéâtre,…) avec une facturation supplémentaire. L’informatique de la M2L est assuré par un bénévole. Les principaux objectifs de la M2L précisés par Mr Sapin lors d’1 interview sont : • La sécurité informatique • L’harmonisation de la configuration • Aboutir à un cloisonnement des réseaux • Développer les accès distants DESCRIPTION SOMMAIRE DU SITE DE LA M2L POUR LE PPE3 1 hall d’accueil et 4 bâtiments (A/B/C/D) Les bâtiments A et C font 5 étages et ils hébergent les 80 bureaux pour les ligues. Les bâtiments B et D sont de plein pied et l’ensemble des RDC sont occupés par les espaces mutualisés. Il y a un espace d’impression dans lequel il y a des imprimantes et des traceurs (facturation à part) Les équipements informatiques : La M2L dispose de ses propres ressources informatiques et les ligues disposent de leurs propres équipements. Tous les bureaux sont câblés. Il y a un réseau WIFI gratuit mis à disposition. 1 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L Distribution des matériels d’interconnexion Bâtiment A étage 2 de la Maison des Ligues de Lorraine Identifiants des Matériels d’interconnexion Domaine : M2L Représentation des matériels : Password : M2L M2L - BATIMENT A étage Localisation o Switch CISCO 24 ports Catalyste 2950 (de niveau 2) nommé SW_ETG03 o Switch CISCO 8 ports Catalyste 2960 (de niveau 2) nommé SW_ETG03 3 2 o Switch CISCO 8 ports 3560c (de niveau 3) nommé FEDERATEUR (salle informatique) 1 RDC 2 o NAS Qnap T419u 4 baies BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L Le PLAN D’ADRESSAGE NOUVEAU PLAN D’ADRESSAGE : (LA DIVISION DE SS RESEAUX) Adresse IP Fournie par le FAI pour la Maison des Ligues de Lorraine Initialement était 172.16.0.0 /16 (Réseau de classe B 255.255.0.0) Besoin d’environ 55 réseaux pour les 80 bureaux, plus différentes catégories Chacune des ligues sera divisée (staff /adhérents) Nouveau Plan d’adressage Plages IP Distribution N° de VLAN Emplacement & N° des Ports VLAN 99 Etage 3 / port 24 172.16.0.0 255.255.255.128 /25 172.16.0.126 INVITES 172.16.0.128 255.255.255.128 /25 172.16.0.254 libre 172.16.1.0 255.255.255.128 /25 172.16.1.126 Matériels d’inter connexion (switchs level 2&3) VLAN 1 Fédérateur port 1 & 2 172.16.1.128 255.255.255.128 /25 172.16.1.254 STAFF M2L VLAN 15 Etage 2 / port 4 172.16.2.0 255.255.255.128 /25 172.16.2.126 SERVEUR VLAN 30 Fédérateur port 8 172.16.2.128 255.255.255.128 /25 172.16.2.254 Libre 172.16.3.0 255.255.255.128 /25 172.16.3.126 Imprimantes VLAN 45 Etage 3 / port 23 172.16.3.128 255.255.255.128 /25 172.16.3.254 Libre 3 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L 172.16.4.0 255.255.252.0 /22 172.16.7.254 172.16.8.0 255.255.252.0 /22 172.16.11.254 172.16.12.0 255.255.254.0 /23 172.16.13.254 AIKIDO STAFF VLAN 121 Etage 3 / port 10 172.16.14.0 255.255.254.0 /23 172.16.15.254 AIKIDO adhérents VLAN 141 DHCP Etage 2 / port 2 Etage 3 / port 5 172.16.16.0 255.255.254.0 /23 172.16.17.254 Basket STAFF VLAN 161 Etage 3 / port 6 172.16.18.0 255.255.254.0 /23 172.16.19.254 Basket adhérents VLAN 181 DHCP Etage 3 / port 7 172.16.20.0 255.255.254.0 /23 172.16.21.254 Etage 2 / port 6 172.16.22.0 255.255.254.0 /23 172.16.23.254 172.16.24.0 255.255.252.0 /22 *La passerelle pour les VLAN est la dernière adresse IP utilisable (par défaut) **(pas de 4 déterminé par le dernier bit a I du masque de Ss réseau) Rappel sur le découpage de sous réseaux La division de Ss réseaux : Nouveaux besoins 8 Ss réseaux 2n=8 (n=3) : (2x2x2=8) passage de 3 bits à 1 pour obtenir le nouveau masque Avant : 255.255.252.0 11111111.11111111.11111100.00000000 Après : 255.255.255.128 11111111.11111111.11111111.10000000 Rappel : 1 Octet = 8 bits à 1 128.64.32.16.8.4.2.1 *Le dernier bit à 1 du nouveau masque S/reseau détermine le pas : 128) = 126 Ip disponibles 4 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L Phase 1 : CONFIGURATION DES MATERIELS ACTIFS D’INTERCONNEXION ROUTAGE INTER-VLAN Les VLAN nous servent donc à diviser les domaines de diffusion sur le réseau local. Ainsi à chaque fois qu’un hôte dans un vlan voudra communiquer avec un autre hôte dans un VLAN diffèrent, le trafic passera par ces interface virtuelle de VLAN. Ce routage inter-vlan n’est configurable que sur des Switch de niveau 3 ou des routeurs. Voici la configuration de notre routage inter-vlan sur notre Switch Fédérateur : 5 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L MISE EN PLACE DU VTP Le VTP est un protocole qui est utile pour diffuser les VLAN à travers tous les switch du domaine. Il permet donc de faciliter l’administration des switch en propageant la configuration des sous interface virtuelles de vlan, d’un commutateur server vers tous les autres clients. (Le VTP est un protocole propriétaire de Cisco). Permet de propager la configuration du commutateur principale en mode SERVEUR sur les commutateurs distants. Cela évite le déplacement sur chaque commutateur pour, par exemple, déclarer des VLAN. o Les modes du VTP client : Serveur / Transparent / Client o o Le VTP déclaré en mode transparent sur le commutateur, n’applique pas la configuration mais relai l’information aux autres si nécessaire. Le commutateur en mode client reçoit la configuration VLAN par le VTP du commutateur qui est en mode serveur. VTP Version 2 VTP mode client //mode du VTP VTP domain M2L hostname Federateur //nom du commutateur password M2L domain M2L Attention : La version 3 du mode VTP n’est pas compatible avec certains matériels (sur le switch de l’étage 3). Le VTP des commutateurs a été mis en VTP version 2. CONFIGURATION DES PROTOCOLES SSH/TELNET Le SSH est une surcouche protocolaire dépendante du protocole primaire appelé Telnet. Il permet une connexion sécurisé et sert à administrer les différents matériels de communications. La connexion qui s’effectue entre le client et le server est encrypté avec une clé RSA dans les versions de SSH 1.0 et 2.0 Pour la configuration du SSH sur le Switch il faut donc d’abord configurer le protocole Telnet car l’authentification du SSH n’est pas possible sans. Configuration Telnet FEDERATEUR(config)#line vty 0 4 FEDERATEUR(config-line)#login local FEDERATEUR(config-line)#transport input telnet !--- A la place du login local on peut utiliser aaa new-model dans d’autres cas 6 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L Accès distant par SSH : FEDERATEUR(config)#ip domain-name M2L !--- On définit ici le nom de notre domaine dont il est question FEDERATEUR(config)#crypto key generate rsa modulus 1024 !--- On crée la fréquence de cryptage de la transmission FEDERATEUR(config)#ip ssh time-out 60 !--- Ici le temps qu’il faut aux essais de connexion FEDERATEUR(config)#ip ssh authentication-retries 2 !--- Le nombre d’essais d’authentification avant arret FEDERATEUR(config)#line vty 0 4 !--- On délimite le nombre de connexions simultanées maximales FEDERATEUR(config-line)#transport input ssh !--- Autorisation du protocole ssh MISE EN PLACE DES ACL L’ACL (Access Control List) est une liste spécifiant les autorisations ou les interdictions d’intercommunication entre les différents périphériques. Elle est définit dans le switch fédérateur. Il en existe trois types (standard, étendu, nommé-étendu) On va donc spécifier quelle adresse IP va être interdite de communication avec les autres. Remarque : Les ACL sont très rigoureuses quand on demande l’interdiction de communiquer vers le vlan matériel aux autres vlan il faut spécifier que les autres doivent pouvoir communiquer entres elles. !-- Dans ce cas nous autorisons tout le vlan associé à 172.16.1.0 à communiquer avec elles-mêmes. FEDERATEUR(config)#access-list 120 permit ip 172.16.1.0 0.0.0.127 172.16.1.0 0.0.0.1277 !-- Nous interdisons ensuite toutes les adresses à communiquer avec le vlan matériel FEDERATEUR(config)#access-list 120 deny ip any 172.16.1.0 0.0.0.127 !-- Enfin nous autorisons tout le reste à communiquer entre eux FEDERATEUR(config)#access-list 120 permit ip any any 7 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L Phase 2 : Administration du domaine M2L Installation de Windows 2008r2 (voir annexe) Une fois l’installation du système d’exploitation mis en place sur le serveur : 1. Configuration du serveur en IP fixe Nous avons choisi de mettre le server en IP statique du VLAN correspondant aux serveurs, il suffit donc de paramétrer les paramètres de la carte réseau : 8 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L 2. Mise en place du rôle DNS Le DNS nous sert à localiser des machines par le biais de noms plus conviviaux que des adresses IP. Il fait donc une translation de l’adresse IP en nom de domaine. Le système DNS est requis pour la prise en charge des services de domaine Active directory, WINS (Windows Internet Name Service) et DCHP (Dynamic Host Protocol). l 3. Mise en place du contrôleur de domaine primaire Le contrôleur de domaine primaire « M2L.Local » va stocker les données et gérer les interactions entre l’utilisateur et le domaine, dans les processus d’authentification ou de recherche dans l’annuaire. 9 BTS SIO 2015 DUNEUFGERMAIN Michaël 4. Activation du rôle Active Directory PPE 3 – M2L L’activation du rôle d’active directory permet de créer une base de données évolutive, sécurisée et gérable pour gérer les utilisateurs et les ressources du domaine. La commande DCpromo est aussi utilisable depuis la zone « exécuter » 5. Définition des plages d’horaires Les plages d’horaires servent à définir les horaires d’accès des utilisateurs du domaine. On peut par exemple restreindre un utilisateur à des horaires spécifiques. 10 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L CONFIGURATON DES STRATEGIES DE SECURITE Les stratégies de sécurité dans l’environnement Windows server peuvent être gérées avec 3 outils. Nous utiliserons seulement l’outil l’éditeur de gestion de stratégie de sécurité. Il va nous permettre de définir plusieurs paramètres de stratégie tel que : Stratégies de compte : stratégie de mot de passe, stratégie de verrouillage de compte, etc … Stratégies locales : stratégie d’audit, attribution des droits utilisateur et options de sécurité Journal des événements : application, système et paramètres du journal des événements de sécurité - Groupes restreints : appartenance aux groupes dont la sécurité est primordiale - Services système : démarrage et autorisations des services système - Registre : autorisations pour les clés de Registre - Système de fichiers : autorisations pour les dossiers et les fichiers Pour répondre aux besoins de Mr.Sapin nous avons donc restreint les paramètres d’affichage des utilisateurs du domaine : - 11 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L INSTALLATION DU SERVICE DHCP Le besoin était donc de mettre en place le service DHCP pour les ligues. Il faut donc dans un premier temps activer le service de DHCP dans le gestionnaire des rôles : Ensuite on va créer une étendue pour chaque unité d’organisation, ceci va nous permettre de spécifier quelle unité d’organisation pourra bénéficier du service DHCP 12 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L AFFECTATION DES QUOTAS D’ESPACE DISQUE La gestion des quotas de disque assurent la maitrise de l’espace des différents disques disponibles sur les serveurs. Elle est gérée par les administrateurs réseau. Cela permet donc de restreindre un utilisateur à une quantité d’espace prédéfinis et ainsi empêcher les abus ou les erreurs. Une fois ce Quota crée l’espace disponible totale pour tous les utilisateurs seront restreint a la quantité spécifié. 13 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L IMPORTATION D’UNE LISTE D’ADHERENT Le besoin étant d’automatiser l’importation en masse de contact vers l’annuaire d’Active Directory, il est donc nécessaire de procéder de la manière suivante : Premièrement nous recevons un fichier Excel type : Pour que notre automatisation de l’importation se passe sans encombre, nous devons retranscrire les en-têtes de colonne telle que le nom, prénom etc par des attributs connues de notre solution PowerShell. Il est donc nécessaire de transformer notre fichier Excel de la manière suivante : Ensuite, pour que notre solution soit effective il nous faut donc convertir le fichier en .CSV, on obtient donc le résultat suivant : 14 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L REMARQUE : Nous remarquerons que ce fichier texte CSV a ainsi crée un séparateur par défaut qui est « ; » Vient enfin la partie importation dans l’annuaire Active Directory, il faut donc lancer la console PowerShell du serveur et y inclure les commandes suivante : Phase 3 : Prise en main à distance Pour permettre l’accès à notre server à distance nous avons utilisé la solution de bureau à distance. Dans Windows active directory il suffit donc d’ajouter les utilisateurs souhaités en tant que membre du groupe builtin d’accès au bureau à distance 15 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L PHASE 4 : Service d’impressions Pour ajouter une imprimante dans l’annuaire active directory, il faut d’abord ajouter l’imprimante dans les périphériques d’impression du serveur par une recherche sur le réseau Ensuite il suffit d’installer les pilotes avec le cd et on obtient l’imprimante disponible sur le réseau : Une fois cette imprimante installé sur le serveur il est utile de la partager sur le réseau, il faut donc faire un clic droit sur l’imprimante souhaité, puis paramètre de l’imprimante, dans l’onglet partage cocher partager cette imprimante sur le réseau et cocher lister cette imprimante dans l’annuaire. Les règle de filtrage que nous avons appliqué à cette imprimante sont les plus basique soient celles appliqué par Windows directement en choisissant a quelles utilisateurs nous autorisons l’accès de cette imprimante. 16 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L PHASE 5 : Sauvegarde & stockage Introduction pour la sauvegarde du NAS : Le server NAS (Network Attached Storage) est un serveur de sauvegarde qui est composé de plusieurs disques dur. Ces disques durs sont gérés par le système RAID, il en existe plusieurs types : - RAID 1 (mirroring) : Copie à l’identique l’entière composition du disque sur un autre. - RAID 0 : Découpage et segmentation des données équitablement entre les disques - RAID 5 : Données réparties par bandes entre les disques (A1/A2/AN) Pour le serveur de sauvegarde nous avons donc installé un serveur NAS sur le réseau, nous l’avons configuré pour qu’il puisse être accessible dans le réseau : 17 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L INITIALISATION DES VOLUMES Ensuite nous allons configurer les volumes du server NAS. C’est donc ici du RAID 5 qui sera utilisé. Intégration de l’Annuaire LDAP dans le NAS Il faut ainsi lier le server NAS à l’annuaire pour que l’on puisse créer des utilisateurs qui correspondent. 18 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L GESTION DES UTILISATEURS, DES GROUPES ET DES DROITS Il est donc nécessaire de lier les utilisateurs de l’AD au serveur NAS pour gérer les autorisations d’accès au NAS. A partir de cela il est très aisé de configurer leurs droits dans l’onglet action. La même chose est possible pour des groupes d’utilisateurs GESTION DES QUOTAS On va donc restreindre la quantité que chaque utilisateurs ou groupes peuvent déposer sur l’emplacement réseau disponible. 19 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L TFTP ET SAUVEGARDE DES MATERIELS D’INTERCONNEXION Il faut dans un premier temps déclarer le ftp auprès du server NAS : Ensuite c’est dans les Switchs que nous allons déclarer l’emplacement de sauvegarde de ses configurations. 20 BTS SIO 2015 DUNEUFGERMAIN Michaël PPE 3 – M2L BACKUP PROGRAMMÉ DE WINDOWS ACTIVE DIRECTORY On définit d’abord le lecteur réseau dans windows : Ensuite on a utilisé le logiciel NetBack Replicator qui va nous permettre de faire la sauvegarde de notre annuaire ou de tous les fichiers dans notre server 21 BTS SIO 2015 DUNEUFGERMAIN Michaël 22 PPE 3 – M2L
